Краткий дайджест новинок в области безопасной разработки

Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.

Автор: Денис Якимов, ведущий телеграм-канала @sec_devops

Сборник практик по безопасности Cloud Native-приложений

Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений¹, рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:

• SSDL вместе с разными способами тестирования;
• защита артефактов;
• Run-Time-безопасность;
• контроль доступа;
• моделирование угроз.

И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.

Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.

Инструменты для оценки надежности проектов Open Source

Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard² для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:

• присутствует ли в проекте политика безопасности;
• использует ли проект статические анализаторы кода (например, CodeQL);
• использует ли проект OSS-Fuzz от Google;
• выпускался ли новый релиз и коммит за последние 90 дней;
• подписываются ли релизы;
• являются ли контрибьюторы членами разных организаций.

Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает "невозможно получить ответ", а 10 – "инструмент уверен в результате".

CVE Benchmark для сравнения SAST-инструментов

OpenSSF также выпустила проект OpenSSF CVE Benchmark³. Основная цель проекта – сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах – добавление новых инструментов и поддержка большего количества уязвимостей.

Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator⁴ – тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.

Для получения теоретической базы можно ознакомиться с K8s Attack Tree⁵ – это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes⁶.

CloudSecDocs

Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно в ней прочитать:

• Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование.
• Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим.
• Моделирование угроз для Docker и Kubernetes.
• Опиcание RBAC.
• Описание важных компонентов с точки зрения безопасности Kubernetes.
• Атаки на контейнеры и пентест.
• Компоненты AWS и Azure, а также их защита.
• Угрозы и методология тестирования облаков.

1. https://github.com/cncf/sig-security/blob/master/securitywhitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf 
2. https://github.com/ossf/scorecard 
3. https://openssf.org/blog/2020/12/09/introducing-the-openssfcve-benchmark/ 
4. https://github.com/kubernetes-simulator/simulator 
5. https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model 
6. https://www.microsoft.com/security/blog/2020/04/02/attackmatrix-kubernetes/